DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: zwei Säulen der europäischen Digitalstrategie.

Legal Watch Nr. 46 – April 2022

DSA – DMA: zwei Säulen der europäischen DigitalstrategieSeit dem Abschluss einer politischen Einigung in der Nacht vom 22. auf den 23. April ist der DSA (Digital Services Act) in der digitalen Welt Gegenstand zahlreicher Kommentare.

Tatsächlich ist diese Gesetzgebung zu digitalen Diensten zusammen mit der Gesetzgebung zu digitalen Märkten (Digital Markets Act) das Herzstück des europäischen Systems, das die Europäische Kommission am 15. Dezember 2020 vorgestellt hat.

Ziel dieser Strategie ist es, gleichere Wettbewerbsbedingungen zu schaffen und Online-Plattformen stärker für die von ihnen veröffentlichten Inhalte verantwortlich zu machen.

Insbesondere zielt der DSA darauf ab, die digitale Umgebung transparenter und sicherer zu machen, indem er die Verantwortlichkeiten digitaler Dienstanbieter definiert.

Sie ergänzt die europäische Richtlinie zum elektronischen Geschäftsverkehr und andere Texte wie die „Platform-to-Business“-Verordnung sowie sektorspezifische Bestimmungen, die beispielsweise die Moderation von Online-Hassreden, Terrorismus, Diskriminierung oder Urheberrecht regeln.

Der DSA wird für Plattformen wie Suchmaschinen, soziale Medien oder E-Commerce-Plattformen gelten. 

Dieser Text war Gegenstand zahlreicher Debatten und Drucks, sowohl seitens der Zivilgesellschaft, die einen ausreichend breiten Anwendungsbereich forderte, als auch seitens der Akteure der digitalen Wirtschaft, deren Forderungen in die entgegengesetzte Richtung gingen.

Insbesondere stellte sich die Frage nach der Reichweite der Regulierung von „Dark Patterns“ und anderen Mechanismen zur Beeinflussung des Besucherverhaltens (siehe unser Schreiben Nr. 45).

Die erzielte politische Einigung scheint einen Ausgleich zwischen der Kontrolle einer hyperzentralisierten Plattformökonomie einerseits und der Achtung der Grundrechte, der Meinungsfreiheit und der Nichtdiskriminierung von Einzelpersonen andererseits zu schaffen.

Folgende Elemente sind besonders hervorzuheben:

  • Ein Beschwerdemechanismus sollte es Personen, die potenziell illegale Inhalte identifiziert haben, ermöglichen, in einem transparenten Verfahren eine Antwort vom Host zu erhalten, ohne diesen in Hilfskräfte der Polizei zu verwandeln.
  • Gezielte Werbung wird eingeschränkt und es werden keine sensiblen Nutzerdaten verwendet.
  • Auch Dark Patterns werden verboten – ob Cookies von diesem Verbot erfasst werden, ist ungewiss.
  • Ein im Zusammenhang mit dem Krieg in der Ukraine eingeführter Krisenreaktionsmechanismus ermöglicht es der Kommission, in Absprache mit den nationalen Regulierungsbehörden den digitalen Notstand auszurufen.

Beachten Sie, dass diese Maßnahmen für Plattformen gelten und daher die Situation in Bezug auf Websites im Allgemeinen unverändert bleibt.

Diese unterliegen jedoch weiterhin den Bestimmungen der DSGVO und der europäischen Richtlinie zur elektronischen Kommunikation.

Der DMA ergänzt die digitale Strategie, indem er gezielt auf die „Zugangskontrolleure“ in digitalen Märkten oder „Gatekeeper“ abzielt. die eine starke wirtschaftliche Position in der Europäischen Union haben und eine große Benutzerbasis mit einer großen Zahl von Unternehmen verbinden.

Auch zu diesem Text wurde am 25. März eine politische Einigung erzielt, die den Anwendungsbereich des DMA klarstellte: Das Konzept umfasst digitale Marktplätze, App Stores, Suchmaschinen, soziale Netzwerke, Cloud-Dienste, Werbedienste, Sprachassistenten und Webbrowser.

Das DMA soll sicherstellen, dass sich diese Plattformen online fair verhalten.

Sie müssen beispielsweise die Interoperabilität der grundlegenden Funktionen ihrer Instant-Messaging-Dienste sicherstellen.

Darüber hinaus können sie nicht mehr:

  • Werbung für eigene Produkte oder Dienstleistungen zum Nachteil anderer (Selbstreferenzierung)
  • Wiederverwendung privater Daten, die während eines Dienstes gesammelt wurden, für die Zwecke eines anderen Dienstes
  • Unfaire Bedingungen für professionelle Nutzer schaffen
  • Bestimmte Softwareanwendungen vorinstallieren
  • Anforderung an App-Entwickler, bestimmte Dienste (z. B. Zahlungssysteme oder Identitätsanbieter) zu verwenden, um in App-Stores gelistet zu werden

Bemerkenswert sind jedoch die Bedenken, die seither von über 40 Vertretern der Wettbewerbs- und Datenschutzbranche geäußert wurden: In der Woche vom 21. April veröffentlichten sie einen Brief, in dem sie ihre Befürchtungen hinsichtlich eines zu vagen Textes darlegten, der es den betroffenen Unternehmen ermöglichen würde, alle in ihrem Besitz befindlichen Daten mit einer einzigen Einwilligung zusammenzufassen, während die DSGVO für jede Art der durchgeführten Verarbeitung eine Rechtsgrundlage verlangt.

Der DMA ist ebenso wie der DSA noch nicht endgültig: Vor seiner Verabschiedung müssen sie in der Plenarsitzung des Europäischen Parlaments gebilligt werden.

Angesichts der Herausforderungen verliert Europa inzwischen keine Zeit: Berichten zufolge plant das Land die Eröffnung eines Büros in San Francisco, um mit den Technologiegiganten des Silicon Valley zusammenzuarbeiten – eben jenen Unternehmen, die im Zuge der neuen digitalen Vorschriften strengen Kontrollen unterliegen werden.

Und auch

Frankreich:

  • Eine Mitte April veröffentlichte Studie der Journalistenschule Sciences Po zeigt, dass 184 Websites der französischen öffentlichen Verwaltung verwenden Google Analytics. trotz der von der CNIL und ihren Partnern hervorgehobenen Auswirkungen hinsichtlich der Übermittlung in die Vereinigten Staaten.

Zu diesen Standorten zählen die des Staatsrats, des Zolls und des Präsidentenamts.

  • Die CNIL veröffentlicht Ressourcen zur künstlichen Intelligenz für verschiedene Zielgruppen : für Fachleute eine Erinnerung an die Grundsätze, die Positionen der CNIL und einen Leitfaden zur Selbsteinschätzung; für die breite Öffentlichkeit Ressourcen zum besseren Verständnis des Themas; und schließlich für Spezialisten Informationen und Studien zu den Themen und dem Stand der Technik.
  • Anfang April änderte die CNIL ihre repressiven Verfahren und schuf ein vereinfachtes Verfahren für weniger komplexe Fälle: keine Sitzung des Kollegiums oder öffentliche Sitzung, außer auf Antrag der betreffenden Organisation.

Die Sanktionen, die in diesem Zusammenhang verhängt werden können, sind begrenzt: Verwarnungen, Geldbußen bis zu 20.000 Euro und eine einstweilige Verfügung mit einem Zwangsgeld von maximal 100 Euro pro Tag der Verspätung.

Diese Sanktionen werden nicht öffentlich bekannt gegeben.

  • Am 15. April 2022 veröffentlichte der eingeschränkte Ausschuss der CNIL eine 1,5 Millionen Euro Bußgeld gegen Dedalus Biologie wegen Sicherheitsmängeln, die zum Verlust der medizinischen Daten von fast 500.000 Menschen führten.

Bei der Softwaremigration wurden technische und organisatorische Sicherheitsmängel festgestellt.

Europa:

Die Europäische Kommission hat ihre Vorschlag für einen europäischen Gesundheitsdatenraum (EHDS).

Der Vorschlag zielt darauf ab, den Bürgern den Zugang zu ihren Gesundheitsdaten in elektronischer Form zu erleichtern und sie mit anderen Angehörigen der Gesundheitsberufe innerhalb der EU zu teilen. Gleichzeitig soll Forschern, Innovatoren, öffentlichen Einrichtungen oder Unternehmen unter strengen Bedingungen der Zugriff auf diese Daten ermöglicht werden.

Jeder Mitgliedstaat muss eine digitale Gesundheitsbehörde benennen, die an einer grenzüberschreitenden digitalen Infrastruktur (MyHealth@EU) teilnimmt.

Europäischer Datenschutzausschuss (EDSA)

  • Am 6. April 2022 veröffentlichte der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zum Entwurf des transatlantischen Datenschutzrahmens.

Diese Erklärung folgt auf die am 25. März 2022 angekündigte Grundsatzvereinbarung zwischen der Europäischen Kommission und den Vereinigten Staaten.

Der EDSA weist darauf hin, dass diese Ankündigung keinen Rechtsrahmen darstellt, auf den Datenexporteure ihre Übermittlungen stützen können.

Sie müssen weiterhin die erforderlichen Maßnahmen ergreifen, um insbesondere dem Schrems-II-Urteil des Gerichtshofs der Europäischen Union nachzukommen.

  • Der EDSA veröffentlichte am 28. April außerdem eine gemeinsame Stellungnahme zum Zusammenarbeit der Datenschutzbehörden in Kontrollfragen Einhaltung der DSGVO.

Das Dokument bestätigt die Bereitschaft der Datenschutzbehörden, ihre Zusammenarbeit zu verstärken, indem sie grenzüberschreitende Fragen von strategischer Bedeutung identifizieren, gemeinsame Untersuchungen und Informationsaustausch fördern und bestimmte Verfahrensregeln verbessern.

Europäischer Datenschutzbeauftragter (EDSB)

DER Europäischer Datenschutzbeauftragter (EDSB) organisiert am 16. und 17. Juni in Brüssel eine Konferenz mit dem Schwerpunkt auf der Einhaltung der DSGVO in der digitalen Welt.

CPDP

Bemerkenswert ist auch die jährliche CPDP-Konferenz (Computers, Privacy and Data Protection), die dieses Jahr auf den 23. bis 25. Mai verschoben wurde. Das Programm ist um das Thema strukturiert „Das Zeitalter intelligenter Maschinen“.

Europäisches Parlament

Am 19. April Pegasus-Untersuchungskommission Das Europäische Parlament hat seine Arbeit aufgenommen.

Die Kommission hat zwölf Monate Zeit, um ihren Bericht über die Spyware vorzubereiten, die von mehreren Regierungen eingesetzt wird, um zahlreiche Persönlichkeiten des öffentlichen Lebens, Politiker, Journalisten und Aktivisten auszuspionieren.

Gerichtshof der Europäischen Union

Zwei wichtige Stationen der Gerichtshof der Europäischen Union wurden letzten Monat veröffentlicht:

  • Am 5. April bestätigte der Gerichtshof seine Rechtsprechung, wonach elektronische Kommunikationsdaten (einschließlich Standortdaten) nicht allgemein und wahllos zur Bekämpfung schwerer Straftaten gespeichert werden dürfen.
  • Am 28. April erkannte der Gerichtshof ausdrücklich an, dass Verbraucherschutzverbände Verbandsklagen gegen Verstöße gegen den Schutz personenbezogener Daten erheben können, unabhängig von der tatsächlichen Verletzung des Rechts einer betroffenen Person auf Datenschutz und ohne entsprechendes Mandat.

Die spanische Datenschutzbehörde verhängte eine Geldbuße in Höhe von 1.500 € gegen eine Person, die eine Videoüberwachungskamera mit Blick auf öffentliche Straßen und in der Nähe von Privathäusern installiert hatte, ohne dass ein Informationsplakat angebracht war und dies einen Verstoß gegen Artikel 5 Absatz 1 Buchstabe c und Artikel 13 der DSGVO darstellte.

Die niederländische Datenschutzbehörde hat das Außenministerium mit einer Geldstrafe von 565.000 Euro belegt wegen unzureichender Sicherheitsvorkehrungen und mangelnder angemessener Information der Betroffenen im Rahmen der Visumbeantragung.

Die ungarische Datenschutzbehörde hat eine Bank wegen illegaler Nutzung künstlicher Intelligenz mit einer Geldstrafe von 670.000 Euro belegt.Die Bank führte automatische Analysen von Audioaufzeichnungen ihres Kundenservice durch.

Die dänische Datenschutzbehörde hat gegen die Danske Bank eine Geldstrafe von 1.345.000 Euro verhängt, weil sie die Verfahren zur Datenaufbewahrung und -löschung nicht eingehalten hat. in über 400 Computersystemen, an denen mehrere Millionen Menschen beteiligt waren. Der Fall ist auch Gegenstand polizeilicher Ermittlungen.

In Belgien verhängte die Datenschutzbehörde eine Geldstrafe von 200.000 Euro gegen den Flughafen Brüssel-Zaventem und von 100.000 Euro gegen den Flughafen Brüssel-Süd-Charleroi. für Temperaturkontrollen bei Passagieren, die im Rahmen der Bekämpfung von COVID-19 ohne gültige Rechtsgrundlage durchgeführt werden.

Internationales:

Es gibt Bedenken hinsichtlich der Hör- und Aufnahmefunktionen intelligenter Lautsprecher.

Eine Ende April veröffentlichte wissenschaftliche Studie beschreibt detailliert, wie Amazon die von Alexa gesammelten Daten für zielgerichtete Werbezwecke nutzt und wie diese Daten bewertet werden, da sie für den dreißigfachen Preis anderer Daten weiterverkauft werden.

Mitte April äußerte der irische Menschenrechtsbeauftragte gegenüber dem Justizminister dieselben Vorbehalte, diesmal hinsichtlich der Weiterverwendung dieser Daten im Rahmen polizeilicher Ermittlungen.

Am 21. April gab US-Außenministerin Gina M. Raimondo eine Erklärung zur Gründung des „Global CBPR Forum“ ab.

Ziel dieses Forums ist es, den Transfer personenbezogener Daten und kommerzieller Aktivitäten zwischen den Vereinigten Staaten, Kanada, Japan, der Republik Korea, den Philippinen, Singapur und Taiwan zu erleichtern.

Beachten Sie, dass es seit etwa zehn Jahren CBPRs (Cross Border Privacy Rules) gibt, wobei zertifizierte Unternehmen hauptsächlich in den USA ansässig sind.

Die OECD plant die Entwicklung eines Rahmens für einen vertrauenswürdigen staatlichen Zugriff auf Daten des privaten Sektors.

Dieses Thema ist neben der Datenlokalisierung und der internationalen Übermittlung personenbezogener Daten eine der Prioritäten der internationalen Organisation für 2022.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT